Uitspraak 2017-694 (Bindend)

Uitspraak Geschillencommissie Financiële Dienstverlening nr. 2017-694
(mr. R.J. Paris, voorzitter, prof. mr. M.L. Hendrikse en mr. E.L.A. van Emden, leden en mevrouw mr. A. de Vette, secretaris)

Klacht ontvangen op : 24 maart 2017
Ingediend door : Consument
Tegen : ABN AMRO Bank N.V., gevestigd te Amsterdam, verder te noemen: ‘de Bank’
Datum uitspraak : 19 oktober 2017
Aard uitspraak : Bindend advies

Samenvatting

Consument vordert dat zijn persoonsgegevens worden verwijderd uit het Interne Verwijzingsregister (IVR) alsmede het Incidentenregister en dat de bancaire relatie wordt hersteld. De persoonsgegevens van Consument zijn door de Bank opgenomen in het IVR en het Incidentenregister, aangezien de betaalrekening van Consument betrokken is geweest bij fraude. De Commissie is van oordeel dat de Bank de bankrelatie heeft mogen beëindigen en over mocht gaan tot interne registratie van de persoonsgegevens in het IVR. Er is echter niet voldaan aan de vereisten voor opname in het Incidentenregister. De Bank dient de persoonsgegevens van Consument derhalve te verwijderen uit het Incidentenregister.

1. Procesverloop

De Commissie beslist met inachtneming van haar Reglement en op basis van de volgende stukken:

• de klachtbrief van Consument met bijlagen;
• de aanvullende informatie van Consument;
• het verweerschrift van de Bank met bijlage;
• de repliek van Consument;
• de dupliek van de Bank;
• de verklaring van Consument met haar keuze voor bindend advies;
• de e-mail van de Bank d.d. 14 september 2017; en
• de e-mail van de gemachtigde van Consument d.d. 17 oktober 2017.

De Commissie stelt vast dat partijen hebben gekozen voor bindend advies.

De Commissie stelt vast dat het niet nodig is de zaak mondeling te behandelen. De zaak kan daarom op grond van de stukken worden beslist.

2. Feiten

De Commissie gaat uit van de volgende feiten.

2.1 Consument hield bij de Bank een betaalrekening aan met rekeningnummer [X].

Op de bancaire relatie zijn de Voorwaarden Betaaldiensten Particulieren (hierna: ‘de Algemene Voorwaarden’). Aan de betaalrekening is de beschikking over een bankpas gekoppeld.
2.2 Consument is sinds twee jaar toegelaten tot het traject van de Wet Schuldsanering Natuurlijke Personen. In dit kader ontvangt Consument wekelijks huishoudgeld ter hoogte van € 50,- dat zij op vaste dagen opneemt.
2.3 Volgens de pashistorie van de Bank heeft Consument op 7 november 2016 met haar bankpas het weekbedrag van € 50,- opgenomen bij een geldautomaat in [plaatsnaam]. Het saldo op haar rekening was daarna nul.
2.4 De volgende dag op 8 november 2016 om 13.45 uur is het saldo op de betaalrekening gecontroleerd met behulp van de bankpas en de bijbehorende pincode van Consument. Vervolgens is om 15.24 uur een bedrag van € 3.000,- bijgeschreven op de betaalrekening van Consument. Aansluitend is om 15.40 uur het saldo op de betaalrekening van Consument wederom gecontroleerd bij een geldautomaat in [plaatsnaam] en daarna is een bedrag van
€ 1.000,- opgenomen. In het tijdsbestek tussen deze geldopname tot 18.18 uur hebben nadien een dertiental opnamen plaatsgevonden bij diverse geldautomaten. Bovendien is er een betaling verricht bij een betaalautomaat van supermarktketen Jumbo in [plaatsnaam].
Op € 0,25 na is het gehele bedrag van € 3.000,- door middel van die transacties dezelfde dag opgenomen.
2.5 Op 8 november 2016 om 21.28 uur heeft Consument telefonisch contact opgenomen met de Bank en haar bankpas laten blokkeren.
2.6 Op 9 november 2016 heeft Consument wederom telefonisch contact opgenomen met de Bank en aangegeven dat zij op 8 november 2016 haar bankpas had laten blokkeren. Zij heeft de Bank medegedeeld dat zij haar portemonnee met daarin haar bankpas was kwijtgeraakt en, vanwege het feit dat zij erg vergeetachtig is, zij de pincode van haar bankpas ook in haar portemonnee bewaarde.
2.7 Op 9 november 2016 wordt door de benadeelde van de fraude eveneens contact opgenomen met de bank en wordt melding gemaakt van de fraude ten laste van haar rekening. De benadeelde heeft aansluitend eveneens aangifte gedaan wegens fraude.
2.8 Per brief van 9 november 2016 heeft de Bank de bancaire relatie met Consument opgezegd en de gegevens van Consument vanwege het vermoeden van fraude geregistreerd in het Incidentenregister en het Interne Verwijzingsregister (IVR) voor een periode van acht jaar. In deze brief wordt, voor zover relevant, het volgende vermeld.

“Waarom beëindigen wij de relatie met u?
Er wordt aangifte gedaan van deurwaardersoplichting ten gunste van uw rekening[X].
Kennelijk is uw rekening gebruikt voor boekingen die dienstbaar zijn aan strafbare feiten, schadelijk zijn voor de reputatie van de bank of voor de integriteit van het financiële stelsel.
Wij wensen onze systemen niet voor dergelijke handelingen beschikbaar te stellen. Wij zijn tot de conclusie gekomen dat het onderhouden van een relatie met u een risico is gebleken dat de bank niet kan en mag lopen. Wij delen u hierbij mee dat wij met u noch in privé, noch zakelijk, noch direct, noch via entiteiten in welke hoedanigheid dan ook nog enigerlei relatie wensen te onderhouden. Daarom zeggen wij, onder verwijzing naar artikel 35 van de Algemene Bankvoorwaarden de relatie met u op.

Wat zijn de gevolgen voor u?
Wij zullen uw rekening(en), na opzegging van de eventueel lopende overeenkomsten, 3 weken na dagtekening van deze brief opheffen. U kunt vanaf dat moment geen gebruik meer van deze rekening(en) maken. Dit houdt ook in dat automatische incasso’s en betalingen worden stopgezet. Voor betaling van eventuele krediettermijnen en/of verzekeringspremies dient u zelf zorg te dragen.
Voor zover u gebruik maakt van producten, zoals bijvoorbeeld een hypotheek, die niet direct kunnen worden opgezegd, zullen wij de relatie met beperking tot die specifieke producten in stand houden.
Wij hebben uw gegevens opgenomen in ons Incidentenregister en in het Intern Verwijzingsregister. Een toelichting hierop treft u aan als bijlage bij deze brief.
(…)
Wat is het gevolg van opname van uw gegevens?
In het Incidentenregister wordt vastgelegd wat er is gebeurd en wie daarbij betrokken is.
Als uw gegevens zijn opgenomen in het Incidentenregister kunnen deze worden gebruikt om de risico’s te beoordelen van (toekomstige) dienstverlening aan u. Als het nodig is om de financiële sector te beschermen, kunnen deze gegevens met andere financiële instellingen worden gedeeld. Na 8 jaar worden uw gegevens uit het Incidentenregister verwijderd. Alleen personeel van de veiligheidszakenafdeling van
(…)
Wat is het gevolg van opname in het Intern Verwijzingsregister?
Als uw gegevens zijn opgenomen in het Intern Verwijzingsregister, kunnen medewerkers van ABN AMRO en van dochterondernemingen dit zien als u bijvoorbeeld een product aanvraagt. Maar zij kunnen niet zien waarom u bent opgenomen. Zij zijn verplicht om contact op te nemen met de veiligheidszakenafdeling van de bank, die wél toegang heeft tot alle gegevens, en hen adviseert. Er kan u bijvoorbeeld een product of een baan bij de bank worden geweigerd. Na 8 jaar worden uw gegevens uit het Intern Verwijzingsregister verwijderd.”

2.9 In het toepasselijke Protocol Incidentenwaarschuwingssysteem Financiële Instellingen van
23 oktober 2013 (hierna: het PIFI) is – voor zover van belang – het volgende opgenomen:

“2. Begripsbepalingen
In dit Protocol wordt verstaan onder:
[…]
Incident: een gebeurtenis die als gevolg heeft, zou kunnen hebben of heeft gehad dat de belangen, integriteit of veiligheid van de cliënten of medewerkers van een Financiële Instelling, de Financiële Instelling zelf of de financiële sector als geheel in het geding zijn of kunnen zijn, zoals het falsificeren van nota’s, identiteitsfraude, skimming, verduistering in dienstbetrekking, phishing en opzettelijke misleiding.
[…]
3.1 Incidentenregister en Extern Verwijzingsregister
3.1.1 Iedere Deelnemer heeft een Incidentenregister, waarin door de betreffende Deelnemer gegevens van (rechts)personen worden vastgelegd ten behoeve van het in artikel 4.1.1 Protocol genoemde doel, naar aanleiding van of betrekking hebbend op een (mogelijk) Incident.
[…]
3.1.2 Aan het Incidentenregister is een Extern Verwijzingsregister gekoppeld.
[…]

4 Incidentenregister
4.1 Doel Incidentenregister
4.1.1 Met het oog op het kunnen deelnemen aan het Waarschuwingssysteem is iedere
Deelnemer gehouden de volgende doelstelling voor het vastleggen van gegevens in het
Incidentenregister te hanteren:
“Het geheel aan verwerkingen ten aanzien van het Incidentenregister heeft tot doel het
ondersteunen van activiteiten gericht op het waarborgen van de veiligheid en de integriteit van de financiële sector, daaronder mede begrepen (het geheel van) activiteiten die gericht zijn:
– op het onderkennen, voorkomen, onderzoeken en bestrijden van gedragingen die kunnen leiden tot benadeling van de branche waar de financiële instelling deel van uitmaakt, van de economische eenheid (groep) waartoe de financiële instelling behoort, van de financiële instelling zelf, alsmede van haar cliënten en medewerkers;
– op het onderkennen, voorkomen, onderzoeken en bestrijden van oneigenlijk gebruik van producten, diensten en voorzieningen en/of (pogingen) tot strafbare of laakbare gedragingen en/of overtreding van (wettelijke) voorschriften, gericht tegen de branche waar de financiële instelling deel van uitmaakt, de economische eenheid (groep) waartoe de financiële instelling behoort, de financiële instelling zelf, alsmede haar cliënten en medewerkers;
– op het gebruik van en de deelname aan waarschuwingssystemen.
[…]
5 Extern Verwijzingsregister
[…]
5.2 Vastlegging van gegevens in het Extern Verwijzingsregister
5.2.1 De Deelnemer dient de Verwijzingsgegevens van (rechts)personen die aan de hierna onder a en b vermelde criteria voldoen en na toepassing van het onder c genoemde proportionaliteitsbeginsel op te nemen in het Extern Verwijzingsregister.
a) De gedraging(en) van de (rechts)persoon vormden, vormen of kunnen een bedreiging vormen voor (I) de (financiële) belangen van cliënten en/of medewerkers van een Financiële instelling, alsmede de (Organisatie van de) Financiële instelling(en) zelf of (II) de continuïteit en/of de integriteit van de financiële sector.
b) In voldoende mate staat vast dat de betreffende (rechts)persoon betrokken is bij de onder a bedoelde gedraging(en). Deze vaststelling betekent dat van strafbare feiten in principe aangifte of klachten wordt gedaan bij een opsporingsambtenaar.
c) Het proportionaliteitsbeginsel wordt in acht genomen. Dit houdt in dat Veiligheidszaken vaststelt, dat het belang van opname in het Externe Verwijzingsregister prevaleert boven de mogelijk nadelige gevolgen voor de Betrokkene als gevolg van opname van zijn Persoonsgegevens in het Extern Verwijzingsregister.”

2.10 In de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen van 1 mei 2010 (hierna: de GVPFI) is – voor zover van belang – het volgende opgenomen:

“4. Beginselen van Verwerking van Persoonsgegevens
4.1 Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.
[…]

4.3 Persoonsgegevens worden slechts verwerkt indien en voor zover is voldaan aan minimaal één van de volgende rechtmatige grondslagen:
a. de Betrokkene heeft voor de Verwerking van Persoonsgegevens zijn ondubbelzinnige toestemming verleend;
b. de Verwerking van Persoonsgegevens is noodzakelijk voor de uitvoering van een overeenkomst waarbij de Cliënt partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de Cliënt en die noodzakelijk zijn voor het sluiten van een overeenkomst;
c. de Verwerking van Persoonsgegevens is noodzakelijk om een wettelijke verplichting na te komen waaraan de Financiële instelling onderworpen is;
d. de Verwerking van Persoonsgegevens is noodzakelijk ter vrijwaring van een vitaal belang van de Betrokkene;
e. de Verwerking van Persoonsgegevens is noodzakelijk voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt; of
f. de Verwerking van Persoonsgegevens is noodzakelijk voor de behartiging van het gerechtvaardigde belang van de Financiële instelling of van een Derde aan wie de Persoonsgegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de Betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.
[…]
5. Doeleinden voor de Verwerking van Persoonsgegevens
5.1 Algemeen
5.1.1 Verwerking van Persoonsgegevens door Financiële instellingen vindt plaats, met inachtneming van de beginselen voor Verwerking van Persoonsgegevens ten behoeve van een efficiënte en effectieve bedrijfsvoering, in het bijzonder in het kader van het uitvoeren van de volgende activiteiten:
a. het beoordelen en accepteren van een Cliënt, het aangaan en uitvoeren van overeenkomsten met een Cliënt en het afwikkelen van het betalingsverkeer;
b. het verrichten van analyses van Persoonsgegevens ten behoeve van statistische en wetenschappelijke doeleinden;
c. het uitvoeren van (gerichte) marketingactiviteiten teneinde een relatie met een Betrokkene tot stand te brengen en/of met een Cliënt in stand te houden dan wel uit te breiden;
d. het waarborgen van de veiligheid en integriteit van de financiële sector, daaronder mede begrepen het onderkennen, voorkomen, onderzoeken en bestrijden van (pogingen tot) (strafbare of laakbare) gedragingen gericht tegen de branche waar een Financiële instelling deel van uitmaakt, de Groep waartoe een Financiële instelling behoort, de Financiële instelling zelf, haar Cliënten en medewerkers, alsmede het gebruik van en de deelname aan waarschuwingssystemen;
e. het voldoen aan wettelijke verplichtingen;
f. het beheren van de relatie met de Cliënt.
[…]
5.5 Verwerking van Persoonsgegevens in het kader van de veiligheid en integriteit van de Financiële sector alsmede het gebruik van waarschuwingssystemen
5.5.1 Ten behoeve van de veiligheid en integriteit van de Financiële sector kunnen gegevens, waaronder Persoonsgegevens, die betrekking hebben op: (i) gebeurtenissen die gelet op het bijzondere karakter van de Financiële sector de zorg en aandacht behoeven van de Financiële instelling; (ii) (potentiële) vorderingen onder meer ten aanzien van een met de Financiële instelling gesloten overeenkomst;
(iii) het niet nakomen van contractuele verplichtingen of andere (toerekenbare) tekortkomingen; of (iv) handelingen van Financiële instellingen, waaronder onderzoek als bedoeld in artikel 5.6.1 Gedragscode, worden opgenomen in een Gebeurtenissenadministratie gehouden door Veiligheidszaken of een daartoe aangewezen afdeling van de betreffende Financiële instelling. Op deze Gebeurtenissenadministratie is de Gedragscode van toepassing.
5.5.2 Indien een in het eerste lid bedoelde gebeurtenis voldoet aan de criteria als opgenomen in het Protocol worden de met deze gebeurtenis verband houdende gegevens opgenomen in het incidentenregister en is opname in het EVR mogelijk (Bijlage I: Document B).(…)”

2.11 In de toelichting bij artikel 5.5 van de GVPFI staat onder meer het volgende vermeld:

“Binnen een Financiële instelling vormt Veiligheidszaken, die zich bezig houdt met de bestrijding van fraude en criminaliteit, vaak een afgezonderde eenheid. Deze afdeling legt onder meer gebeurtenissen vast die van belang zijn voor de veiligheid en integriteit van de Financiële sector en om die reden speciale aandacht behoeven. Het kan daarbij gaan om uiteenlopende gebeurtenissen als de melding van een gestolen laptop tot het vermoeden dat een bepaald persoon betrokken is bij een vorm van fraude of criminaliteit. Deze Persoonsgegevens worden vastgelegd in een zogeheten Gebeurtenissenadministratie. De Persoonsgegevens opgenomen in de Gebeurtenissenadministratie mogen in beginsel alleen gebruikt worden binnen de Financiële instelling of de Groep waartoe de Financiële instelling behoort. Om een oncontroleerbaar gebruik van deze Persoonsgegevens te voorkomen wordt een beperkte set aan gegevens (naam, adres, woonplaats en geboortedatum) opgenomen in een Intern Verwijzingsregister (IVR) dat in het kader van onder meer acceptatie en schadeafhandeling door de betreffende afdelingen geraadpleegd mag worden. Indien blijkt dat een Betrokkene in dit IVR voorkomt moet contact worden opgenomen met Veiligheidszaken, die vervolgens adviseert over de beslissing die moet worden genomen. Op deze Verwerking van Persoonsgegevens is de Gedragscode van toepassing en is een separate melding gedaan bij het CBP.
[…]
Indien, na nader onderzoek, blijkt dat de gebeurtenis van zodanige aard is dat deze voldoet aan de voorwaarden genoemd in het Protocol worden de gegevens opgenomen in het Incidentenregister en, wanneer aan aanvullende voorwaarden is voldaan, in het EVR. Op deze Verwerkingen is niet de Gedragscode, maar het Protocol van toepassing.”

2.12 Op 18 november 2016 heeft Consument aangifte gedaan bij de politie. Het proces-verbaal vermeldt, voor zover relevant, het volgende.

“Tussen maandag 7 november omstreeks 18.00 uur en dinsdag 8 november omstreeks 21.00 uur, ben ik mijn portemonnee verloren of is deze gestolen zonder dat ik dit doorhad. Ik kwam hier thuis pas achter, toen ik op mijn internetbankieren inlogde en zag dat er door iemand anders gebruik was gemaakt van mijn pinpas. Ik ben toen gelijk in mijn tas gaan kijken en gezocht waar mijn portemonnee was, maar deze bleek dus verdwenen. Daarop heb ik direct de ABN-AMRO bank gebeld, om mijn rekening te laten blokkeren. Mijn rekeningnummer is [X] tnv [naam Consument] te [plaatsnaam].
Echter bleek er dus al gebruik gemaakt te zijn van mijn pinpas. Het is namelijk zo,
dat er op dinsdag 8 november tussen 16.00 er 17.00 gebruik is gemaakt van mijn
pinpas. Wat ik kon zien op mijn internetbankieren, is dit gebeurd bij de geldautomaat
van de ABN-AMRO bank aan de [adres] te [plaatsnaam].
In eerste instantie, is er middels een storting een bedrag van 3000 euro gestort op
mijn rekening en met gebruik van mijn pas. En dit gehele bedrag is direct daarna vervolgens ook weer opgenomen. Er is een bedrag van 1000 euro, en daarop meerdere bedragen van 150 euro, gepind totdat de kort daarvoor gestorte 3000 euro volledig van mijn rekening was gehaald. De ABN-AMRO bank vertelde mij, dat mijn pas hierdoor vermoedelijk werd gebruikt om fraude te plegen dan wel mogelijk geld wit te wassen. Derhalve is door de bank alles toen ook volledig geblokkeerd.”

3. Vordering, klacht en verweer

Vordering Consument
3.1 Consument vordert verwijdering van haar gegevens uit het IVR alsmede het Incidentenregister en herstel van de bancaire relatie.

Grondslagen en argumenten daarvoor
3.2 Deze vordering steunt, kort en zakelijk weergegeven, op de volgende grondslagen.
• De registraties in het IVR en het Incidentenregister hebben onjuist en ten onrechte plaatsgevonden. De Bank heeft de gegevens van Consument slechts op basis van een vermoeden van frauduleuze handelingen geregistreerd in beide registers zonder dat hiertoe enig bewijs is overgelegd. Consument heeft meermaals aangegeven dat haar betaalrekening, pinpas en pincode zijn misbruikt door een derde zonder haar medewerking of toestemming.
• Consument heeft adequaat gereageerd op de frauduleuze transacties en heeft op het moment dat zij deze ontdekte direct contact opgenomen met de Bank en haar bankpas laten blokkeren.
• Er is geen aangifte gedaan jegens Consument vanwege de vermeende frauduleuze handelingen van haar kant. Het had op de weg van de Bank gelegen om over te gaan tot aangifte bij de politie van een strafbaar feit. Consument heeft juist zelf aangifte gedaan van de ongeoorloofde transacties en de vermissing dan wel diefstal van haar portemonnee met daarin haar pinpas en pincode.
• De Bank heeft nagelaten de camerabeelden van de geldautomaten bij de diverse transacties op 8 november 2016 op te vragen en te onderzoeken. Consument kan niet gedupeerd worden doordat de Bank een dergelijk onderzoek achterwege heeft gelaten. Uit deze beelden zou immers blijken dat Consument de transacties niet heeft uitgevoerd en dat de geldsom van € 3.000,- niet ten goede is gekomen aan Consument.

Verweer de Bank
3.3 De Bank heeft de stellingen van Consument gemotiveerd weersproken. Voor zover nodig zal de Commissie bij de beoordeling daarop ingaan.

4. Beoordeling

4.1 Ter beoordeling ligt de vraag voor of de Bank de persoonsgegevens van Consument dient te verwijderen uit het IVR en het Incidentenregister alsmede of de Bank gehouden is om de bancaire relatie te herstellen. De Commissie overweegt hiertoe als volgt.

Interne Verwijzingsregister (IVR)
4.2 De Commissie stelt vast dat registratie in het IVR is toegestaan wanneer aan de vereisten die daaraan zijn gesteld in de GVPFI.

4.3 Op grond van artikel 5.5.1 van de GVPFI kunnen persoonsgegevens die betrekking hebben op (onder meer) gebeurtenissen, die de zorg en aandacht behoeven van de financiële instelling, worden opgenomen in de Gebeurtenissenadministratie. Het gaat daarbij om zaken die de veiligheid en integriteit van de instelling, haar werknemers, klanten en overige relaties maar ook de financiële sector als geheel (kunnen) raken. De Bank geeft aan dat er sprake is van een gebeurtenis conform de GVPFI nu er volgens haar sprake is van fraude. Voor de Bank staat het voldoende vast dat Consument betrokken is bij fraude, nu de bankpas direct na uitvoering van de fraudehandelingen door Consument als vermist is opgegeven. De aanwezigheid van andere begunstigden en de omvang van de fraude vergen volgens de Bank een planmatige aanpak en onderlinge coördinatie. Consument stelt echter slachtoffer te zijn geworden van diefstal van haar portemonnee en ontkent enige betrokkenheid bij fraude.

4.4 Tussen partijen staat niet ter discussie dat Consument haar pincode tezamen met de bijbehorende bankpas in haar portemonnee heeft bewaard. De Commissie stelt vast dat een betaaldienstgebruiker op grond van de Algemene Voorwaarden van de Bank alsmede artikel 7:524 van het Burgerlijk Wetboek (BW) alle redelijke maatregelen dient te nemen om de veiligheid van de gepersonaliseerde kenmerken van de pinpas te waarborgen. Consument heeft haar bankpas gezamenlijk met haar pincode in haar portemonnee bewaard. De Commissie stelt vast dat de pincode hierdoor op een ondeugdelijke wijze is bewaard. Bovendien heeft Consument de geheimhoudingsplicht geschonden doordat zij de pincode schriftelijk heeft genoteerd en deze op dezelfde plek als de bankpas heeft bewaard. De Commissie oordeelt dat deze manier van omgaan met de bankpas en pincode kan worden gekwalificeerd als een op grof nalatige wijze tekortschieten in de nakoming van de veiligheidsvoorschriften jegens de Bank. Door het bewaren van de pincode op deze onverantwoorde wijze stelt zij degenen die de beschikking krijgen over haar portemonnee immers in staat om toegang te verkrijgen tot haar bankrekening. De Commissie oordeelt dat zij door deze handelwijze de frauduleuze handelingen in ieder geval mogelijk heeft gemaakt.

4.5 De Bank heeft gedurende de klachtenprocedure bij Kifid een transactie-overzicht overgelegd, waaruit blijkt dat de eerste activiteit met de bankpas op 8 november 2016 om 13:45:28 uur heeft plaatsgevonden. Het betreft hier het controleren van het saldo via een geldautomaat. De pincode is in één keer juist ingetoetst. Dezelfde dag wordt om 15.24 uur een bedrag van € 3.000,- bijgeschreven op de betaalrekening van Consument. Consument stelt op dat moment haar portemonnee reeds verloren te hebben. De Commissie acht deze gang van zaken dermate opmerkelijk dat niet kan worden vastgesteld of uitgesloten dat Consument een derde zelf van haar pincode en pinpas heeft voorzien.

4.6 Gezien het voorgaande is de Commissie van oordeel dat de Bank de omstandigheid dat sprake is van een redelijke verdenking van betrokkenheid bij fraude dan wel het mogelijk maken van fraude door grove nalatigheid, als een gebeurtenis in de zin van artikel 5.5.1 van de GVPFI heeft mogen aanmerken. Derhalve heeft de Bank een gegronde reden om over te gaan tot interne registratie van de persoonsgegevens van Consument in het IVR.

4.7 Op grond van artikel 4.3 sub f van de GVPFI dient de registratie in het IVR proportioneel te zijn. Dit houdt in dat het belang van de registratie voor de Bank dient te prevaleren boven de nadelige gevolgen van de registratie voor Consument. De Bank heeft aangegeven dat zij door middel van de registratie tracht de integriteit van de Bank als financiële instelling te bewaken. De Commissie acht die reden niet onredelijk. Daarbij is eveneens van belang dat de registratie in het IVR zuiver intern is. De registratie heeft tot gevolg dat Consument niet langer gebruik kan maken van de diensten van de groep financiële ondernemingen waarvan de Bank deel uitmaakt. Financiële instellingen die geen deel uitmaken van deze groep, hetzij direct of indirect, hebben derhalve geen toegang tot de persoonsgegevens van Consument in het IVR. De Commissie stelt vast dat gesteld noch gebleken is dat Consument disproportioneel in haar belangen wordt geraakt door de registratie. De Commissie oordeelt dat de registratie van de persoonsgegevens van Consument in het IVR dan ook gehandhaafd mag blijven voor een periode van acht jaar, nu er wordt voldaan aan de doelstelling van artikel 5.5.1 van de GVPFI en aan het proportionaliteitsbeginsel van artikel 4.3 sub f van de GVPFI.

Incidentenregister
4.8 Op grond van artikel 4.1.1. van het PIFI kan de Bank naar aanleiding van een incident de gegevens van een persoon in haar register opnemen indien daarmee de veiligheid en integriteit van de financiële instelling en de financiële sector in zijn geheel worden gewaarborgd. Het kan voorkomen dat gegevens alleen worden opgenomen in het Incidentenregister en niet in het daaraan gekoppelde Externe Verwijzingsregister. De Bank heeft de persoonsgegevens van Consument in het onderhavige geval alleen in het Incidentenregister geregistreerd.

4.9 Het Incidentenregister wordt beheerd door en is inzichtelijk voor de afdeling Veiligheidszaken van de financiële instelling. De gegevens in het Incidentenregister dienen strikt vertrouwelijk te worden behandeld. Onder bepaalde omstandigheden mag de afdeling veiligheidszaken informatie uit het Incidentenregister echter wel delen met de afdeling veiligheidszaken van andere deelnemers aan het PIFI. Informatie kan worden gedeeld op basis van wederkerigheid en relevantie. Het Incidentenregister heeft daarmee een beperkte externe werking. Vgl. uitspraak GC 2016-196 onder 4.5, uitspraak GC 2016-329 onder 5.5. e.v. en Rb. Midden-Nederland 11 januari 2017, ECLI:NL:RBMNE:2017:49, r.o. 4.10.

4.10 Conform het PIFI mag de incidenteninformatie en de daarbij behorende persoonsgegevens bij het eerste signaal dat sprake is van een Incident worden opgenomen in het Incidentenregister. Het (redelijk vermoeden van het) Incident dient onderzocht te worden door de afdeling Veiligheidszaken. Van een gerechtvaardigde Incidentenregistratie is op grond van artikel 4.1.1 van het PIFI in ieder geval sprake zolang het onderzoek door de afdeling veiligheidszaken van de financieel dienstverlener naar het Incident loopt. De afdeling Security and Intelligence Management van de Bank heeft onderzoek gedaan naar aanleiding van de fraudemelding door de benadeelde. Het onderzoek is reeds afgerond en voor de afdeling Security and Intelligence Management is vast komen te staan dat de betaalrekening van Consument is gebruikt om over gelden te kunnen beschikken die vanuit fraude zijn verkregen.

4.11 Voor handhaving van de registratie in het Incidentenregister na afloop van het onderzoek dient voldoende bewijs te bestaan dat voldaan is aan de vereisten van artikel 5.2.1 sub a en b van het PIFI. Gelet op de kennelijke bedoeling van het PIFI en de verstrekkende consequenties voor de betrokkene van registratie van diens persoonsgegevens in een register met externe werking, zij het beperkt (het Incidentenregister), is de Commissie van oordeel dat een incidentenregistratie na afronding van het onderzoek naar dit Incident alleen dan gehandhaafd kan blijven wanneer uit dit onderzoek is gebleken dat voldoende bewijs bestaat om fraude aan te tonen. Dit brengt mee dat voor handhaving van de registratie in het Incidentenregister na afloop van het incidentenonderzoek voldoende bewijs moet bestaan dat voldaan is aan de vereisten van artikel 5.2.1 sub a en b van het PIFI en dat in voldoende mate vast dient te staan dat de door de Bank gestelde feiten die de registratie dragen een gegronde verdenking van fraude (opzet te misleiden) vormen. Vgl. Hof Amsterdam
30 november 2010, ECLI:NL:GHAMS:2010:BO7581, r.o. 3.3, uitspraak GC 2016-069 en uitspraak GC 2016-302, onder 4.6 en de daar genoemde uitspraken. De Bank heeft het standpunt ingenomen dat sprake is van een gegronde verdenking van fraude zodat registratie in het Incidentenregister ook na afloop van het incidentenonderzoek gerechtvaardigd is.

4.12 De Commissie oordeelt als volgt. De door Consument gegeven verklaring roept weliswaar vraagtekens op, maar de Bank heeft nagelaten, anders dan haar blote stelling, om te bewijzen dat Consument daadwerkelijk heeft deelgenomen aan frauduleuze activiteiten. Een redelijk en aannemelijk vermoeden hiertoe is onvoldoende voor handhaving van de registratie in het Incidentenregister. Dat de benadeelde van de frauduleuze handelingen aangifte heeft gedaan van fraude kan eveneens niet tot de conclusie leiden dat Consument daadwerkelijk betrokken is geweest bij fraude. Nu niet wordt voldaan aan de vereisten van artikel 5.2.1 sub a en b van het PIFI voor handhaving van de persoonsgegevens in het Incidentenregister, oordeelt de Commissie dat de registratie daarvan dient te worden doorgehaald.

Beëindiging bancaire relatie
4.13 De Bank is op grond van artikel 35 van de Algemene Bankvoorwaarden bevoegd de bancaire relatie met Consument op te zeggen. Dit neemt niet weg dat, zoals is bepaald in art. 6:248 lid 2 BW, de omstandigheden van het geval kunnen meebrengen dat het naar maatstaven van redelijkheid en billijkheid onaanvaardbaar is dat de overeengekomen bevoegdheid tot opzegging wordt uitgeoefend. In een geval waarin zich dit voordoet zou opzegging van de overeenkomst geen beëindiging ervan tot gevolg hebben.

4.14 In het onderhavige geval heeft de Bank de bancaire relatie schriftelijk opgezegd en haar beweegredenen hiertoe toegelicht. Gelet op de gerechtvaardigde registratie van de persoonsgegevens van Consument in het IVR acht de Commissie de opzegging van de bancaire relatie op zichzelf niet onredelijk. Dat de Bank tot opzegging van de bancaire relatie met Consument bevoegd was doet niet eraan af dat uit de eisen van redelijkheid en billijkheid kan voortvloeien dat zij daarbij een termijn in acht behoorde te nemen om Consument in staat te stellen te proberen haar financiële betrekkingen onder te brengen bij een andere bankinstelling. Consument geeft aan dat er door de opzegging sprake is van bezoedeling van haar goede naam, nu de Bank stelt dat zij medewerking zou hebben verleend aan criminele activiteiten. Volgens Consument heeft dit geresulteerd in schade. Gesteld noch gebleken is dat Consument hierdoor daadwerkelijk vermogensschade heeft geleden of dat zij haar financiële betrekkingen niet bij een andere bankinstelling heeft kunnen onderbrengen. Hierdoor dient ervan uitgegaan te worden dat de Bank bevoegd was de bancaire relatie met Consument op te zeggen. De Commissie is derhalve van oordeel dat de Bank niet gehouden is tot herstel van de bancaire relatie.

5. Beslissing

De Commissie beslist dat de persoonsgegevens van Consument worden verwijderd uit het
Incidentenregister en wijst het meer of anders gevorderde af.

In artikel 5 van het Reglement van de Commissie van Beroep Financiële Dienstverlening is bepaald in welke gevallen beroep openstaat van bindende beslissingen van de Geschillencommissie Financiële Dienstverlening bij de Commissie van Beroep Financiële Dienstverlening. Daarbij geldt een termijn van zes weken na verzending van deze uitspraak. Op de website van Kifid vindt u praktische informatie over het instellen van beroep. Zie hiervoor www.kifid.nl/consumenten/hoe-wordt-uw-klacht-behandeld.

U kunt, binnen twee weken na de verzenddatum van deze uitspraak, bij de Voorzitter van de Geschillencommissie Financiële Dienstverlening schriftelijk een verzoek indienen tot herstel van kennelijke vergissingen in de uitspraak. U moet daarbij met name denken aan correctie van reken- of schrijffouten en verbetering van namen en data. De volledige procedure met de termijnen die daarbij in acht moeten worden genomen staat beschreven in artikel 46 van het Reglement.